İki yıl geçmesine rağmen her dört uygulamadan biri halen Log4Shell’e karşı savunmasız durumda. Tüm zamanların en kötü şöhretli hatalarından biri olmasına rağmen ilgisizliğin giderilmesinde halen farkındalık eksikliği suçlanıyor.
Açık kaynaklı Java tabanlı Log4j kayıt yardımcı programında Log4Shell güvenlik açığının ortaya çıkmasından iki yıl sonra, yaklaşık dört uygulamadan biri güncelliğini yitirmiş kitaplıklara bağımlı hale geldi ve bu da onları istismara açık hale getirdi. Güvenlik mağazası Veracode’un araştırması, savunmasız uygulamaların büyük çoğunluğunun Log4j kitaplığını geliştiriciler tarafından uygulandıktan sonra hiçbir zaman güncellememiş olabileceğini, çünkü yüzde 32’sinin 2015 öncesi EOL sürümlerini çalıştırdığını ortaya çıkardı.
Veracode’un önceki araştırmaları ayrıca tüm geliştiricilerin yüzde 79’unun üçüncü taraf kitaplıklarını projelere ilk kez dahil ettikten sonra asla güncellemediğini gösterdi ve Log4j2’nin 2014 yılına kadar uzandığı göz önüne alındığında, bu durum büyük güvenlik açığını açıklayabilir. Log4Shell tehlikesi bu kadar eski olmasına rağmen halen güncelliğini koruyor.
Çok daha küçük bir azınlık, Log4j güvenlik açığının Aralık 2021’de açıklandığı sırada savunmasız olan sürümleri çalıştırıyor. Yalnızca yüzde 2,8’i hala 2.0-beta9’dan 2.15.0’a kadar olan sürümleri kullanıyor. Sektör Log4Shell’e maruz kalan EOL sonrası sürümler. güvenlik açığından yararlanmanın takma adı. Yaklaşık yüzde 3,8’i hala Java günlükçüsünün Log4Shell saldırılarına açık olmayan ancak ayrı bir uzaktan kod yürütme (RCE) hatasına (CVE-2021-44832) karşı savunmasız olan yama sonrası sürümü olan 2.17 sürümünü çalıştırıyor.
Araştırmacılar bunun, güvenlik açığı ilk kez ortaya çıktığında hızlı hareket eden ve o zamanki tavsiyelere uygun olarak kütüphanelere dokunmama yönündeki eski alışkanlıklara geri dönen bir azınlık geliştiriciyi gösterdiğine inanıyor. Toplamda yalnızca yüzde 35’lik bir kesim Log4Shell’e karşı savunmasız kalıyor ve yaklaşık yüzde 40’ı da RCE kusurlarına karşı savunmasız. Veracode baş araştırma sorumlusu Chris Eng , “Yüzeysel düzeyde, yukarıdaki rakamlar Log4Shell güvenlik açığını düzeltmeye yönelik büyük çabanın sıfır gün güvenlik açığından yararlanma riskini azaltmada etkili olduğunu gösteriyor. Bu şaşırtıcı olmamalı” diyor. Ortadaki en büyük sorun yalnızca yamaların uygulanmaması değil. Sonatype’a göre , yalnızca son yedi günde güvenlik açığı bulunan sürümleri içeren Log4j indirmelerinin sayısı, toplam 3,7 milyonun yüzde 26’sını oluşturuyor.